Читать книгу Информационная безопасность предприятия. Москва 2020 - Владимир Владимирович Галевко, В. Б. Гисин, Вячеслав Алексеевич Голыбин - Страница 4

Информационная безопасность предприятия – это состояние её информационной структуры, при которой ей не может быть нанесен существенный ущерб путем воздействия на её информационную сферу. Другими словами такой ущерб, пренебречь которым предприятие уже не может или не должно. Реализуется через регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией.

Понятие «информационная безопасность» порой трактуется по разному. В частности в Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» определяется как состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе «Об информации, информационных технологиях и о защите информации» информационная безопасность определяется так же – как состояние защищенности информационной среды.

Более конкретно информационная безопасность определяется, как защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Здесь неприемлемый ущерб – ущерб, которым нельзя пренебречь.

Однако, в последнее время сформировалось более краткое и точное определение безопасности информации – это состояние, при котором обеспечены её конфиденциальность, доступность и целостность.

Конфиденциальность (секретность): свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.

Целостность: неизменность информации в процессе её передачи или хранения.

Доступность: свойство информационных ресурсов, в том числе информации определяющее возможность их получения и использования по требованию уполномоченных лиц.

Все меры и способы по реализации и защите информационной безопасности можно разделить на несколько уровней:

– Законодательные меры информационной безопасности.

– Организационные меры информационной безопасности.

– Технические способы информационной безопасности.

– Программные способы информационной безопасности.

К законодательным мерам информационной безопасности относятся все законы, а также и другие нормативно-технически, нормативно-методические документы по защите информации.

Различают:

– Законы РФ;

– Доктрины Российской федерации в области защиты;

– Нормативно-методические документы по защите информации;

– Документы уполномоченных федеральных органов;

– Национальные стандарты в области защиты информации;

– Международные стандарты в области защиты информации.

Основные законы РФ в области информационной безопасности, касающиеся напрямую любое предприятие, будут следующие.

– Конституция Российской Федерации (1993 г.)

– Закон РФ «О безопасности» от 05.03.1992г. №2446—1

– ФЗ РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. №149-ФЗ

– ФЗ РФ «О коммерческой тайне» от 29 июля 2004 г. N 98-ФЗ

– ФЗ РФ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ

– ФЗ РФ «Об электронной цифровой подписи» от 10 января 2002 г. N 1-ФЗ

– ФЗ РФ «О правовой охране программ для ЭВМ и баз данных» 23 сентября 1992 г. N 3523—1

– 187 – ФЗ О безопасности критической информационной инфраструктуры от 26 июля 2017.

Правовые акты Президента РФ

– Указ «Об основах государственной политики в сфере информатизации» N 170 от 20.01.94г.

– УП РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. №188

– Постановление Правительства РФ от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008г. №687.

Нормативно-методические документы по защите информации

– Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

– Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Документы уполномоченных федеральных органов

Приказ ФСТЭК №58 от 5.02.2010г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Перечень нормативных документов, определяющих требования по защите персональных данных при их обработке в информационных системах

– Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.)

– Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. (Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.)

– Инструкция об организации и обеспечении хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Приложение к Приказу ФАПСИ от 13.06.2001г. №152)